พบมัลแวร์ตัวใหม่ชื่อ TsarBot กำลังมุ่งเป้าไปที่แอปพลิเคชันกว่า 750 แอปทั่วโลก

พบมัลแวร์ตัวใหม่ชื่อ TsarBot กำลังมุ่งเป้าไปที่แอปพลิเคชันกว่า 750 แอปทั่วโลก ซึ่งรวมไปถึงแอปธนาคาร, การเงิน, Crypto และอีคอมเมิร์ซ จากรายงานพบว่า TsarBot ใช้เทคนิคการโจมตีแบบ Overlay Attack และ Phishing เพื่อดักจับข้อมูล Credentials และการดำเนินธุรกรรมต่างๆ โดย TsarBot จะหลอกให้เหยื่อติดตั้ง dropper ซึ่งเป็นแอปปลอมคล้าย Google Play Services และทำหน้าที่ติดตั้งมัลแวร์ลงในอุปกรณ์ของเหยื่อ เมื่อมัลแวร์ถูกติดตั้งจะแสดงหน้าล็อกอินปลอมครอบแอปพลิเคชันจริง เพื่อหลอกให้เหยื่อกรอกข้อมูลสำคัญ เช่น บัญชีธนาคาร, รายละเอียดบัตรเครดิต และรหัสผ่าน

นอกจากนี้ TsarBot ยังสามารถดักจับข้อมูลล็อกหน้าจอของอุปกรณ์ผ่านหน้าจอล็อกปลอม เช่น PIN หรือ Pattern Lock เพื่อให้สามารถเข้าควบคุมอุปกรณ์ได้อย่างสมบูรณ์ มัลแวร์ตัวนี้ใช้โปรโตคอล WebSocket เพื่อสื่อสารกับเซิร์ฟเวอร์ผ่านพอร์ต 443, 80, 8080, 5055 และ 9002 โดยผู้ไม่ประสงค์ดีสามารถส่งคำสั่งระยะไกลเพื่อควบคุมหน้าจอของอุปกรณ์เหยื่อ เช่น เลื่อนหน้าจอ, แตะปุ่ม, ป้อนข้อมูล, บันทึกหน้าจอ และ ดักจับข้อความ SMS ทำให้สามารถดำเนินธุรกรรมต่างๆ ได้ โดยซ่อนกิจกรรมเหล่านี้ไว้เบื้องหลัง

คำแนะนำ

– ควรดาวน์โหลดแอปจากแหล่งที่เป็นทางการ เช่น Google Play Store เท่านั้น

– ควรเปิดใช้งาน Google Play Protect บนอุปกรณ์แอนดรอยด์

– ควรหลีกเลี่ยงการคลิกลิงก์ต้องสงสัย ในอีเมลหรือ SMS

– ควรใช้รหัสผ่านที่คาดเดาได้ยาก และเปิดใช้ระบบยืนยันตัวตน 2 ขั้นตอน (2FA)

– อัปเดตระบบปฏิบัติการและแอปพลิเคชันอย่างสม่ำเสมอ